INSEC WORLD | CSO与创新,圆桌大咖秀

资讯 作者:安在 2020-11-30 16:33:01 阅读:726

撰稿 | 流苏

编辑 | 图图






由成都市人民政府指导、全球最大展会机构Informa Markets主办,英富曼成都及四川天展共同承办的INSEC WORLD成都·世界信息安全大会已在中国西部国际博览城9号馆圆满落幕。本届大会突出“新基建——安全为本”的主题,吸引了逾2000位线下参会听众、近60位海内外演讲嘉宾、逾40家网安品牌同台、近百家媒体全程报道,可谓行业一大盛事。 


 

 







本届大会为期四天,包括两日高阶培训、两日主论坛、六大分论坛及科技展示区域。其中11月27日上午主论坛之CSO与安全创新圆桌令笔者印象深刻。



众所周知,近年来网络安全领域正处于动荡发展期,而CSO作为一个群体,其普遍意识和决策,又决定着网安市场的规模、方向和未来。换句话说,随着CSO群体的逐渐形成、发展和壮大,中国网络安全的行业面貌更会焕然一新。


然而,摆在企业和安全人员面前的是,CSO体系在国内依旧还处于摸索期,如何成为一个优秀的CSO,需要哪些职业技能和素质,大安全新形势下企业安全又该如何进行创新变革等,这些都是摆在我们眼前的问题。



在这样的背景下,大佬云集的CSO与安全创新圆桌自然吸引了众人的目光。据悉,本次圆桌出品人是安在新媒体创始人张耀疆,参与嘉宾包括国网网安(北京)科技有限公司总经理刘锋,安信证券股份有限公司安全总监李维春,深圳红途创程科技有限公司创始人&CEO刘新凯,易念科技创始人&CEO王怀宾,云丁网络技术(北京)有限公司安全总监向阳。


从这里也可以看出,本次圆桌的嘉宾都是行业内极具代表性的企业和大咖,涵盖了国企、金融、科技、培训教育和媒体等多个领域。那么大佬们都说了啥呢?想必很多人都非常好奇,为此,安在特对本次圆桌内容进行整理汇编,以飨读者。



以下为CSO与安全创新圆桌实录,本次圆桌共有三轮提问环节。


第一轮:CSO都在干嘛?






 


张耀疆:(刘锋)你在国网网安,那么这个领域的安全工作重点和特点是什么,以及你的角色定位是怎样?


刘锋:非常感谢有这个机会,国网网安是国家电网中负责安全保障的重要力量之一。在这样的环境里做网络安全非常有自豪感,每天在做的是考虑如何保障用电安全。当时我主动选择电网这个行业,也是带着一份使命感。

 


国网网安是贴身服务电网的业务,新基建也是电网的主要领域,比如充电桩业务,另外电网现在的方向是能源互联网,其特点就是数字化、智能化。现在感觉最大的变化是,防御从阵地战变成了防弹衣和保镖,还有就是有组织的攻击正越来越多。


在这样的情况下,网安公司要做的是更加集约化,以及联合协同,国网网安实际上也是电网内网络安全公司整合到一起。这个变化就类似于射雕英雄传一样,不论是黑客还是安全,独行侠已经成为过去,更多的是联合和集约。






张耀疆:提到金融安全就会想到合规,监管的要求,对你而言日常安全工作常态化是怎样的状况,是不是非常凸显合规,除了合规之外还有其他的情况?

   

李维春:这个问题还蛮有挑战的,我以前也有科技行业从业经历,科技行业没有那么大的合规压力,主要还是按照事件驱动或者业务发展来开展工作。在金融行业,合规确实是非常重要的工作,而且未来也应该是常态化的工作。因为随着金融市场的变革,金融行业的风险会进一步加大,监管也会持续加大金融监管的力度,所以这是一个常态化的趋势。



此外,金融行业还面临着其他新的挑战。在大变局之下,很多企业面临数字化转型,从IT基础设施到上层应用架构、数据架构都会发生很大的变化,会引入很多新的技术和风险。在这样的情况下,安全怎么及时地识别、发现新风险,并且采取有效的控制措施,帮助业务更有好的成长,这是一个新的挑战。


以往做安全是看风险,但现在安全人应该走出来,能够促进业务发展,才能真正体现安全价值,也很难得到认同。比如我们现在的日常工作中有20%已经超出了传统安全职责的定义。只要公司认为是大安全的活,你有能力就可以干,我们也是从公司发展的的思想和定位出发,只要最终能够帮助公司和业务发展就值得做,这也是未来新方向和新挑战。






张耀疆:新凯之前在顺丰科技工作,作为科技驱动的新型巨头公司,你在里面做安全是一种怎么样的状态?


刘新凯:最早做安全都是搞技术的,要保证基础安全的运营和管理,随着企业组织发展的越来越高,信息安全很可能成为未来企业中非常重要的一部分,甚至是成为企业和品牌的组合体。



以顺丰科技为例,它是怎么在品牌上做更有利的变化呢?就拿安全来说,不丢东西就是安全吗?随着个人隐私要求越来越高,如何保护每一个客户的个人隐私,让他们在被服务的过程中体验到被关注,被保护,就成了安全的新要求。


因此安全除了解决传统的安全问题以外,怎么给公司带来更有益的帮助,给品牌更多安全上的赋能,就成为了当时面临的挑战。换句话说,除了单纯的技术,我们也要考虑如何在业务上实现更多的变革,从业务上给整个集团带来新的变化,工作内容也从纯技术变成更多的和业务部门合作,让公司的业务有新的变化。






张耀疆:提到赋能,很多企业天然具备把安全变成一个可对外创收的属性,比如云丁科技做智能门锁,人们直观想到的就是门锁的安全,那么也请你分享一下你的工作状态。


向阳:正如张总所说,我们企业是物联网智能家居的重要应用分支,包括智能门锁、智能水电表,智能门锁公寓管理系统等,服务于TO C和TO B行业,产品本身就具备强安全属性。



我关注的点主要有四个方面:首先是企业安全治理架构规划,包括安全架构设计,安全建设与运营;其次是针对各种威胁我们目前防护状态和受攻击的程度。然后是对新技术的发展和关注,最后我还会特别关注各种会议中所运用的攻击手段和防护手段,以此提升我们的安全防御水平。


智能门锁是很典型的端管云架构,和以前互联网安全工作,除了关注云端、设备端、和用户应用,我还会特别关注智能设备终端的安全性,包括错误注入,通信劫持,数据破解等,同时智能门锁也是一个安防类的产品,所以我们还会关注机械结构安全和经济安全,最后我们还会关注人身安全,比如防火性能安全标准,以及安装、服务人员的合规性等,这是一个大的安全体系工作。






张耀疆:王怀宾虽然不在企业里,但是一直持续关注人员安全意识提升,以及CSO相关社群建设。那么在你眼里CSO的现状是怎样的,和过去相比现在这个状态哪些变化?


王怀宾:我个人感觉现在更多的是技术人员语言沟通的问题,以及企业和黑产的攻防对抗针对的不仅仅是安全人员,而是针对企业所有员工,但是最终又由CSO背锅。



比如企业CSO向董事会介绍安全问题时往往是技术语言,而安全和业务确实很难统一起来,这个问题我把他定义成安全文化的问题。其实安全生产文化已经有两百年的时间,安全生产的重心是设备安全,人身安全,很多企业的安全生产文化也做的很好。随着信息化、数字化经济进一步发展,数据安全逐渐成为安全生产内涵。


怎么把原来安全生产上非常好的语言表达、推广和运营的方式转化成适合当下的时代?这是我一直在倡导的事情,同时我们也要将传统安全生产中好的方式方法融合进现在的网络安全。比如CSO向董事会汇报可能会使用的语言,建立安全大使、安全宣传员等工作机制,这可能是站在企业文化建设的角度可以考虑的方向。


第二轮:CSO之变局与破局






张耀疆:在我的认知中,电网是比较严肃规范,但其实远比我们想象的要开放,比如之前和安在一起搞泛在电力物联网的评选。那么站在你(刘锋)的角度,现在及未来,你们会有哪些更开放性的举措,如何更好地联合网络安全的相关能力和资源,并以更大的框架模式服务于基础设施?


刘锋:我是2018年加入国网网安,其实现在电网也在变化和创新,对于我来说,做网络安全是个人意愿和公司意愿吻合在一起。2018年赶上电网搞电力物联网建设,它对于安全的需求非常广,一个网安公司不足以支撑所有解决安全方案和产品。所以必须要创新,我们将自己定位成一个窗口,在2018和安在一起做电力物联网征集,将电网的需求梳理出来跑向各网安公司,也取得了很好的效果。现在在很多领域都和很多网安公司有紧密的合作,支撑了电网很多领域的业务。明年,我们还将抛出更多的需求,包括业务、人才等各方面,现在电网的安全需求日新月异,国网网安作为一个窗口非常期待合作。


另外电网的安全更多的是实战化,现在内部网络安全已经不再提前通知,而是直接发起攻势,这个我们已经在做了,网安公司就是我们的攻击基地,国网也会从各个省抽调的力量,也是攻击以后发现问题将直接通报。国网网安将来也是一个人才的平台,希望能跟社会上更多资源进行合作。






张耀疆:(李维春)也是我们的老朋友了,担任了深圳诸子云分会会长,目前深圳诸子云分会也非常活跃。那么我的问题是,从个人的角度来看,你怎么看待在甲方企业做安全,以前低调,现在相对开放,这种变化意味着什么,以及如何确保自己不断提高?


李维春:其实不管是甲方还是乙方,信息安全从业者一定要注意两个方面的工作,一是专业技能提升,二是职业素养提升。这几年我一直在提倡一个观点,自己也在身体力行,如果把个人成就比作数字的话,专业技能只有1到9,职业素养才会决定后面有多少个0。深圳诸子云分会通过两年的线上线下运营,可以明显感受到大家对于提升自己职业素养的变化。这些变化更多的来自甲乙方交流互动,以及团队内部不断地倡导分享和学习。


还有就是我们要容纳新的观点,今天的主题也是创新,当我听到一个没有办法理解消化的新观点时,我的做法是不会轻易反对,而是持续地琢磨,持续十年二十年,主要你想通了就会质的飞跃和提升。近几年,我感觉用这样的方法的同行们越来越多,整体甲方的素质也在不断提升。






张耀疆:新凯现在自己创业,角色从甲方转为乙方,那么促使你创业的原因是什么,今天的圆桌是讲CSO,到了这个层面路口有很多,其实给CSO也是一个启发,所以分享一下为什么选择创业?


刘新凯:其实最近也有很多人觉得我脑子进水了才干这个事情,因为甲方有几个天然的优势。比如了解产品和解决方案,甲方可以看遍所有的解决方案,你可以很清楚地知道整个世界的产品、解决方案在如何发展,大家的关注点和方向是什么,并且可以学习优秀的经验。第二甲方通常以目标为导向,面临的压力更大,也有更好的产品可以选择,就算没有产品也要做出满足目标的相关产品,目标越来越高之后你会发现已经进入尝试和创新,甚至可能引领潮流,所以甲方会遇到很多挑战和机会。第三甲方有非常好的落地或实验的机会,这是厂商所无法比拟的环境,也可以叫试验田,最后你会发现多年的甲方工作积累其实也做了很多厂商的事情。


至于创业其实是个人心态的问题,在甲方也可以看出是创业的过程。我的心态就是,努力把每一件事情做到最好,创造该有的价值。在甲方企业也是如此,努力在每一个项目每一个方向每一个阶段达成自己的目标,满足企业的发展,而这种状态完全可以调整到创业过程中。现在角色虽然有变化,但是心态的变化没有想象那么大,也可能更符合我的情况。这其实也是现在的趋势,你会发现越来越的甲方人员开始进行产品研发,尝试新的方案落地,做越来越多的创业动作,这个也和大环境有关。






张耀疆:(王怀宾)从你的视角来看,不同行业、不同类型的企业安全负责人在意识、特质方面会表现出哪些差异性,哪一些又是大家共同具备的,还有哪一些跟行业属性有关的差异化?


王怀宾:我觉得安全的本质是,在企业里建立一个包括技术流程和人在内的安全文化的过程,最终目的是要把安全基因和业务融合在一起,并且印在人的每个员工的大脑里面。因此,我们要做的事情就是不断改变员工的安全行为,建立相应的安全意识,最后形成一个企业的安全文化。


在这个过程中,不同的企业会根据自身的风格、传统、特色选择不同的路径,而今年发布的安全文化框架把企业的安全文化分为四类,这几种类型文化如何和企业的属性相结合,可以成为CSO下一个阶段主要关注和研究的方向。


但是,具体到文化落地时一定要解决人的认识问题和行为问题。传统行业的做法可能是上课、贴海报等,无法达到文化落地的目的,在未来创新和发展的过程中,还需要更多的教育手段来把文化建设真正落地。


比如通过攻击的方式真正让老板在决策上重视安全,通过移动设备把安全教育和场景化工作上下文进行结合,用持续仿真攻击和钓鱼方式探测员工遭受风险的识别能力和反应能力等等。这些是新型教育方式的变革,都可以落实到企业文化建设的长期过程中。






张耀疆:(向阳)你觉得在西部地区,网络安全是怎样的状态,具体来说和你类似的安全负责人处于一个怎样的阶段和侧重点,大家更关注哪些,和东部发达的地区会有哪些差异性?


向阳:这里说明一下,我目前是在北京工作的。因为是西南诸子云分会会长,加上在这边也有很多朋友,也接触了不少网络安全人员。和北京、上海、深圳等地方相比,之前的西南区域从安全意识、认知和投入等方面都还存在很多不足。这两年从成都举办了很多高规格的安全会议来看,大家已经认识到安全的薄弱点,也在有意识地补充和加强,我个人认为非常好。作为诸子云西南分会会长,我也希望将北上广深好的安全理念和实践带到西南区域,和大家共同交流,共同成长,共同提升安全建设水平。


第三轮:CSO眼里的紧缺人才






张耀疆:最后咱们进行一个简单的总结,在座各位都是过来人,在安全圈扎根的时间很长,今天来参会有很多年轻的后浪。我有一个问题,在你们眼中,年轻一代的安全从业者最需要具备哪些能力和素质,如果你们要招人,最想招什么样的人?


刘锋:简单来说是两个词:使命、情怀。做网络安全本身就是一个双刃剑,因此我选人才比较看重是使命和情怀,也借用这个机会,分享下国网网安的口号——国网网安,国泰民安。


李维春:我选人三个标准一定要达到:一是要喜欢信息安全,特别喜欢不管在攻防还是数据安全中跟人对抗的感觉;二是学习能力很强,三是有团队合作精神。


刘新凯:选一个骨干员工两个词是考虑的最多,一是学习能力,二是沉得住寂寞,比较符合我们这个行业的定位。


王怀宾:我们公司的文化也是我的标准,一是学习,二是协同,三是创新。

   

向阳:在我看来比较关注初心和技术,做网络安全需要热爱,也需要一定的技术实力,才能够持续在这个领域发展。


张耀疆:最后你会发现,所有过来人都没有呼吁我们一定要会哪一门技术,更多的是基本的素养和精神状态:要热爱,有情怀,有责任感,有不断学习的意识和习惯,有团队协作的能力。这几点既是在座的过来人内心所想,也是我的小结,送给年轻的后浪们。


本期的圆桌到这里就结束了,如果后面有机会,希望能够和在座的诸位以及看直播的同仁们,以其他的方式进行交流,感谢各位嘉宾!



推荐阅读




就因为被人脸识别拍了,买房多花了30万


齐心抗疫 与你同在 



点【在看】的人最好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接